Nascondere il fatto che un sito sta utilizzando WordPress?

Un dettaglio spesso trascurato - elimina il file readme.html nella root di WordPress. Non solo identifica l'installazione come WP ma contiene anche la versione precisa. E non dimenticare di ripeterlo ad ogni aggiornamento.

Domanda correlata: Come impedire l'accesso o eliminare automaticamente readme.html, license.txt, wp-config-sample.php

L'unica risposta valida: IMPOSSIBILE

Così tante risposte con molti voti... è ora di fare chiarezza. La verità è che è virtualmente impossibile e anche se fosse, la vita è probabilmente troppo breve per sprecare tempo in questo. Qualsiasi risposta che promuove passaggi per nascondere WP è solo una perdita di tempo e ti porterà a pensare erroneamente di aver nascosto il tuo WP (il che è assurdo).

1) Il problema non sono gli ovvi URL wp-*, il meta generator ecc. I problemi veri sono con i pattern associati a WordPress che un sistema sviluppato internamente non implementerebbe, come le pagine degli autori, le pagine anno/mese/giorno, l'uso di p=nnn come parametro valido, avere un modulo di commenti con la classe comment di WordPress, la struttura e i nomi dei link, e poi c'è l'autopromozione dei plugin di caching e di Yoast SEO e probabilmente molti altri plugin che vedi solo quando ispezioni l'HTML stesso.

2) Ci sono molti altri metodi non contati che mostrano l'esistenza di WP (e non puoi evitarli):

• Anche l'header di risposta PHP (come notato da Dan Gayle sotto la mia risposta) restituisce l'header specifico di WP.

• Chiunque può interrogare uno dei tanti file .php nella root: site.com/wp-cron.php o site.com/xmlrpc.php (o altri, che non puoi nascondere) e la risposta dell'header sarà 200 invece di 404 not found.

• Chiunque può verificare gli endpoint json per ottenere una risposta specifica di WP.

• Nell'HTML della pagina, molti file .css o .js contengono frasi specifiche che fanno chiaramente riferimento a WP.

• Nell'HTML della pagina, è facile trovare elementi/classi css come <div class="entry-content post-14"... o simili (che sono un indizio diretto della struttura usata da WP)

• Nell'HTML della pagina, vedrai facilmente la cartella uploads, o anche se la rinomini hardcodando, la parte della data come uploads/2018/05/image.jpg (o anche image-315x225.jpg) mostra la tipica struttura di WP.

• Poiché molti siti ora sono costruiti usando MultiSite, utilizzano ad esempio /site/2 nei link...

• Ping a qualsiasi readme di plugin/temi (tutti lo contengono), come plugin-name/readme.txt, che restituisce status 200.

• e molte, molte, molte altre cose che tu (o anche i professionisti) non sarete in grado di nascondere e vi faranno solo perdere giorni!

conclusione

E anche se ti impegnassi a ripulire tutto ciò che indica che questo è un WordPress, potresti dover rifare o almeno ricontrollare dopo ogni aggiornamento di plugin o del core. La vita è semplicemente troppo breve per questo.

Potresti ingannare alcuni dilettanti, ma non puoi nasconderti da un buon ispettore. Se questo viene fatto come misura di sicurezza allora è sicurezza per oscurità, che è sempre sbagliata, e se ti vergogni semplicemente di usare WordPress, allora lascia che ti dica una cosa - a nessuno importa, e anche i pochissimi a cui importa probabilmente non sapranno come scoprirlo da soli.

L'unica cosa di cui dovresti preoccuparti, è proteggere WP il più possibile e monitorarne gli aggiornamenti regolari.

Ho sempre utilizzato il metodo del Tema Roots.
Ma applicarlo a quei ThemeJungle là fuori è di solito un gran mal di testa.

Così, ho iniziato a giocare con le costanti WP_CONTENT_*. Che credo sia un metodo molto meno soggetto a errori e questo è ciò che ho funzionante al momento:

^{/m è la cartella uploads, /t è la cartella themes e /t/t è la cartella del tema attivo. Il sito non è complesso, quindi pochi asset caricati...}

WP_CONTENTLESS

wp-config.php

Impostando wp-content nella radice (/public_html/) del sito.

/** 
 All'interno di WP_CONTENT, dovrebbero esistere le seguenti cartelle: 
 /languages , /mu-plugins , /plugins , /themes , /upgrade , /uploads  

 Le definizioni WP_CONTENT_* qui sotto RIMUOVONO l'esistenza della cartella /wp-content 
 e fanno sì che i suoi contenuti risiedano nella RADICE del tuo sito

 È NECESSARIA la massima attenzione quando si eseguono attività di manutenzione dei file sul server (es.: aggiornamenti WP, nuovo Webmaster...), 
 poiché le cartelle Temi e Plugin sono destinate a essere rinominate in /t e /p (seri candidati per rimozioni inconsapevoli)

 SI PREGA di notare:
 - cambiamo la cartella Plugin nelle definizioni WP_PLUGIN_*
 - la cartella Temi è cambiata da un Plugin MustUse 
   (/mu-plugins/set-extra-themes-folder.php)
 - la cartella Uploads è cambiata nella pagina delle impostazioni di WordPress 
   (http://example.com/wp-admin/options-media.php)
 - il percorso hardcode da utilizzare in WP_CONTENT_DIR e WP_PLUGIN_DIR può essere verificato utilizzando un'azione all'interno del Plugin set-extra-themes-folder (controlla i commenti in questo file)
*/
define( 'WP_CONTENT_DIR', '/www/htdocs/username/public_html' );
define( 'WP_CONTENT_URL', 'http://www.example.com' );

define( 'WP_PLUGIN_DIR', '/www/htdocs/username/public_html/p' );
define( 'WP_PLUGIN_URL', 'http://www.example.com/p' );

Ho chiesto informazioni su [wp-hackers] - Quali svantaggi nell'impostare WP_CONTENT_DIR (e URL) su DOCUMENT_ROOT?, dove John Blackbourn¹, Mike Little² e Otto³ sono stati gentili abbastanza da consigliare:

^{1
Ho avuto questa struttura attiva su un sito negli ultimi 18 mesi e non ho visto alcun problema. Come con qualsiasi modifica alla posizione della directory dei contenuti, dovrai verificare che qualsiasi plugin aggiunto al sito non presupponga che la directory dei contenuti sia in wp-content.}

^{2
Ci sono discussioni in rete sul fatto che $_SERVER['DOCUMENT_ROOT'] possa essere suscettibile a hacking. In tal caso, questo è estremamente pericoloso perché ci sono molti posti che require() o include() WP_CONTENT_DIR . 'qualcosa';}

^{3
Ci sono casi in cui il contenuto in $_SERVER può essere perfettamente sicuro, ma per motivi di sicurezza, è meglio trattarlo sempre come dati non attendibili. Per questo caso specifico, hardcodare la directory.}

Una Nuova Cartella Temi

/mu-plugins/set-extra-themes-folder.php

Poiché non ci sono costanti WP_THEMES_*, abbiamo bisogno della funzione register_theme_directory() per "Registrare una directory che contiene temi."
Ho provato a impostare la directory extra nella radice ma i risultati sono divertenti (es.: non funziona).

<?php
/*
    Plugin Name: Set Extra Themes Folder
    Version: 1.0
    Description: Consente alla directory - http://example.com/t - di essere utilizzata come directory extra per i temi
    Plugin URI: http://wordpress.stackexchange.com/questions/1507
    Author: brasofilo
    Author URI: http://rodbuaiz.com
*/


/**
 * Rimuovi il commento dalla riga seguente per conoscere il percorso corretto da inserire in register_theme_diretory()
*/
//add_action( 'admin_head', 'brsfl_alert_directory_path' );

function brsfl_alert_directory_path()
{
    echo '<script type="text/javascript">
        alert("Directory: '.$_SERVER['DOCUMENT_ROOT'].'");
    </script>';
}


/**
 * Quanto segue abiliterà la directory "t" come directory EXTRA per i Temi
*/
register_theme_directory( '/www/htdocs/username/public_html/t' );


/**
 * Deregistrazione degli script predefiniti in wp-includes per quelli CDN
*/
add_action('init', 'brsfl_init_scripts');

function brsfl_init_scripts() 
{
    if ( !is_admin() ) 
    {
        wp_deregister_script( 'jquery' );
        wp_deregister_script( 'swfobject' );
        wp_register_script( 'jquery', 'http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js', false, '1.7.1' );
        wp_register_script( 'swfobject', 'https://ajax.googleapis.com/ajax/libs/swfobject/2.2/swfobject.js', false, null, true );
        wp_enqueue_script( 'jquery' );
        wp_enqueue_script( 'swfobject' );
    }
}

Cartella Uploads

/wp-admin/options-media.php

Invece di http://example.com/uploads, sarà http://example.com/m.
Deselezionando Organizza i miei upload in... darà un aspetto WPless agli URL degli asset.
Se il sito è online, deve essere eseguita una ricerca/sostituzione nel database e i file devono essere spostati.

Plugin e Contenuto Head

Fare riferimento alla risposta di Cris_O in questa Q&A.

Readme.html

Fare riferimento alla risposta di Rarst in questa Q&A.

Altri Passaggi

Come al solito, i temi ThemeJungle possono richiedere hack specifici nel tema.
Come... TimThumb che non funziona (!!!lol!!!).

Puoi avere WordPress su un server e recuperare il tuo contenuto da un altro includendo solo il contenuto di cui hai bisogno.

Se hai bisogno di RSS, dovresti fare lo stesso anche con quello.

In pratica sarebbe come servire pagine statiche da un proxy o CDN, ma solo le parti che vuoi effettivamente servire. Potresti poi anche utilizzare un sistema di commenti basato su javascript come Disqus.

Utilizzo di risorse davvero basso, perché non ci sono database sul server che serve il contenuto.

Puoi creare un indirizzo personalizzato per accedere al tuo blog. Invece di utilizzare il classico percorso "miosito.com/wp-admin" per raggiungere la dashboard, questa pagina ti aiuterà a creare accessi nascosti, il che è utile anche per misure di sicurezza.

In questo modo, le persone che provano ad aggiungere wp-admin al tuo blog non saranno in grado di indovinare :)

Oltre a quanto sopra, è necessario proteggere l'accesso ai vari file e directory wp*. Se qualcuno volesse verificare se stai utilizzando WP, potrebbe provare a vedere se esiste wp-settings.php o se può accedere a qualche directory. Restituire un 403 non è sufficiente perché indica all'utente che la risorsa esiste; semplicemente non ha accesso ad essa.

Non sono un esperto di Apache, quindi ho posto questa domanda su serverfault.

Non dimenticare che molte delle informazioni dell'header HTTP che vengono inviate insieme alla tua richiesta possono identificare il tuo sito come basato su WordPress. Ad esempio, se controlli gli header dei seguenti siti, è evidente:

$ curl -I http://www.rollingstones.com/
Server: WP Engine/5.0

$ curl -I http://www.mattcutts.com
X-Powered-By: W3 Total Cache/0.9.1.3

$ curl -I http://blogs.reuters.com/us/
WP-Super-Cache: Served supercache file from PHP

Alcune di queste sono impostate dal server, altre dai plugin, quindi non c'è un modo unico per dire come rimuoverle al 100%, ma se stai usando PHP 5.3 puoi usare

header_remove("X-Foo"); (http://www.php.net/manual/en/function.header-remove.php)

per rimuovere un header PHP conosciuto prima che il tuo contenuto venga inviato. Non posso dire con certezza dove posizionare questo codice (magari qualcun altro può contribuire con queste informazioni), ma probabilmente è sicuro inserirlo all'inizio del tuo index.php PRIMA di qualsiasi contenuto che viene inviato al browser.

Questo può essere difficile da realizzare se sei nuovo a PHP e mod_rewrite. Ti consiglio di controllare la sezione della mia risposta. Oppure prova tu stesso, puoi usare qualcosa come questo per nascondere la struttura del percorso wp-content/plugins:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^modules/(.*) /wp-content/plugins/$1 [L,QSA]
</IfModule>

Questo cambierà il percorso in /modules. Usa qualcosa di simile per altre strutture, potresti aver bisogno di riscritture avanzate, vedi http://httpd.apache.org/docs/current/mod/mod_rewrite.html per ulteriori informazioni su mod_rewrite.

Se preferisci qualcosa di pronto all'uso, ci sono alcuni plugin interessanti, alcuni commerciali, altri gratuiti nel repository di WordPress, ti consiglio di provare WP Hide & Security Enhancer. Questo include molte funzionalità e aiuta a cambiare quasi tutto per rendere il tuo WordPress irriconoscibile. Ecco alcune caratteristiche del codice:

• URL personalizzato per l'amministrazione
• Blocco dell'URL predefinito dell'amministrazione
• Blocco di qualsiasi accesso diretto alle cartelle per nascondere completamente la struttura
• Nome file personalizzato per wp-login.php
• Blocco del wp-login.php predefinito
• Blocco del wp-signup.php predefinito
• Blocco dell'API XML-RPC
• Nuovo percorso per XML-RPC
• URL del tema personalizzabile
• Nuovo URL per il tema figlio
• Cambio del nome del file di stile del tema
• wp-include personalizzato
• Blocco dei percorsi predefiniti di wp-include
• Blocco del wp-content predefinito
• URL personalizzati per i plugin
• Cambio URL individuale per i plugin
• Blocco dei percorsi predefiniti dei plugin
• Nuovo URL per gli upload
• Blocco degli URL predefiniti per gli upload
• Rimozione della versione di WordPress
• Blocco del Meta Generator
• Disabilitazione del codice JavaScript per le emoji
• Rimozione del tag pingback
• Rimozione del Meta wlwmanifest
• Rimozione del Meta rsd_link
• Rimozione di wpemoji

e molto altro ancora...

Non voglio ripetere le opzioni di codifica poiché sono state già ampiamente trattate. L'altra opzione che conosco e che funziona è utilizzare un plugin che nasconda WordPress. Ho usato questo plugin in passato con risultati soddisfacenti. Si chiama Hide My WordPress.

La maggior parte delle risposte si concentra sull'oscurare WordPress nel codice sorgente di una pagina, ma ancora prima WP si è già tradito nell'header HTTP di un'installazione standard. Prova il tuo sito su un servizio come web-sniffer (fingi di essere IE 6 e richiedi un header HTTP 1.0) e vedrai che tra le informazioni restituite c'è:

<http://www.example.com/wp-json/>; rel="https://api.w.org/"

Quest'ultimo è un link all'API di Wordpress.org. È presente da quando l'API REST è stata inclusa in WP 4.4. Puoi rimuoverlo con questa riga all'inizio del tuo functions.php:

remove_action( 'template_redirect', 'rest_output_link_header', 11, 0 );

Molti plugin, come Jetpack per i suoi shortlink, possono anche inserire link nell'header HTTP. Possono farlo perché WP ha un'API HTTP, che ti permette di manipolare gli header. Potresti usare questa interfaccia per rimuovere tutte le impostazioni di header dei plugin se aggiungi la tua azione abbastanza tardi nel processo.

Infine, puoi usare l'interfaccia header di .htaccess per intercettare qualsiasi cosa WP stia facendo. Ad esempio, puoi prevenire l'invio di qualsiasi header Link includendo questa riga:

<IfModule mod_headers.c>
Header unset Link
</IfModule>

Puoi personalizzare un tema per escludere tutte le informazioni relative a WordPress. Rimuovi anche il widget meta e qualsiasi altro widget che mostri dettagli sulla piattaforma.

Personalmente, preferisco mostrare la mia gratitudine visualizzando che sto utilizzando WordPress.

Puoi utilizzare il plugin WPS Hide Login.
Normalmente accedi a WordPress usando wp-admin. Ma puoi cambiare wp-admin con un testo personalizzato usando questo plugin.

Esempio:

Prima: http://example.com/wp-admin
Dopo: http://example.com/testo-personalizzato-per-login